安全服务的制作方法

安全服务


背景技术：

1.云计算是服务递送的模型，用于实现对可配置的计算资源的共享池的方便、按需网络访问，这些可配置的计算资源可以被快速地生成并且利用名义管理工作或与服务的提供方的交互而被释放。云计算允许云消费者获得计算资源，诸如网络、网络带宽、服务器、处理存储器、存储装置、应用、虚拟机以及作为基于弹性且有时非永久的服务的服务。云计算平台和基础架构允许开发人员针对应用构建、部署和管理资产和资源。云计算可以包括可以保护资源和资产免受攻击的安全服务。


技术实现要素：

2.提供本发明内容是为了以下面在具体实施方式中被进一步描述的简化形式引入各种概念。本发明不旨在标识所要求保护的主题的关键特征或基本特征，也不旨在被用于限制所要求保护的主题的范围。
3.计算机网络环境可以包括安全服务，安全服务可以在诸如客户端的用户设备和诸如web应用的网络资源之间强制执行策略和日志会话数据。本公开涉及一种安全服务，该安全服务用以验证从在客户端设备处的应用中的资源地址被访问的网络资源。资源地址被转换为具有代理服务器的后缀域的代理地址。针对网络资源的资源地址的示例包括针对web服务器的web地址。在一个示例中，当资源地址在应用中被访问、诸如被点击时，后缀域被附加到资源地址上。代理服务器被耦合到诸如代理服务器的客户端设备，该代理服务器介入客户端设备和网络资源之间。网络资源在代理服务器处被验证。如果安全服务确定网络资源是安全的，则代理服务器将来自客户端设备的通信传递给网络资源。然而，如果安全服务确定网络资源不安全，则代理服务器阻塞从客户端设备去往网络资源的通信或不将通信从客户端设备传递给网络资源。在一个示例中，安全服务向客户端设备提供警告。安全服务基于诸如全局策略和用户策略的定义的策略来确定网络资源是否安全。
附图说明
4.附图被包括以提供对实施例的进一步理解，并且附图被并入本公开并且构成本公开的一部分。附图说明了实施例，并且与描述一起用以解释实施例的原理。其他实施例以及实施例的许多预期优点将很容易理解，因为它们通过参考以下描述而变得更好理解。附图的元件不一定相对于彼此成比例。类似附图标记表示对应的类似部件。
5.图1是图示了可以在计算机网络中被配置的计算设备的示例的框图。
6.图2是图示了具有安全服务的示例计算机网络的示意图。
7.图3是图示了图2的计算机网络中的示例安全服务的示意图。
8.图4是图示了图3的安全服务的示例方法的框图。
具体实施方式
9.在以下描述中，参考了附图，其形成本发明的一部分，并且其中通过图示可以实施
本发明的特定实施例。应当理解，可以利用其他实施例，并且可以在不偏离本发明范围的情况下进行结构或逻辑改变。因此，以下描述不应被视为限制性的。应当理解，除非另有指示，否则本文描述的各种示例实施例的特征可以部分地或整体地彼此组合。
10.图1图示了示例性计算机系统，其可以被部署在操作环境中并且用于托管或运行计算机应用，该计算机应用被包括在存储计算机可执行指令的一个或多个计算机可读存储介质上，该计算机可执行指令用于控制计算机系统(诸如计算设备)执行过程。该示例性计算机系统包括计算设备，诸如计算设备100。计算设备100可以采取多种形式中的一种或多种形式。这种形式包括平板计算机、个人计算机、工作站、服务器、手持设备、消费者电子设备(诸如视频游戏控制台或数字视频记录器)等，并且可以是独立设备或者被配置为计算机网络的一部分。
11.在基础硬件配置中，计算设备100通常包括具有一个或多个处理单元(即处理器102和存储器104)的处理器系统。通过示例，处理单元可以包括芯片上的两个或更多个处理核或两个或更多个处理器芯片。在一些示例中，计算设备还可以具有一个或多个附加处理或专用处理器(未示出)，诸如用于图形处理器单元上的通用计算的图形处理器，以执行从处理器102卸载的处理功能。存储器104可以被布置在层次结构中，并且可以包括一个或多个级别的高速缓存。取决于计算设备的配置和类型，存储器104可以是易失性的(诸如随机存取存储器(ram))、非易失性的(诸如只读存储器(rom)、闪存等)或两者中的某种组合。
12.计算设备100还可以具有附加特征或功能性。例如，计算设备100还可以包括附加存储装置。这种存储装置可以是可移除的或不可移除的，并且可以包括磁盘或光盘、固态存储器或闪存存储装置，诸如可移除存储器108和不可移除存储器110。计算机存储介质包括以任何合适的方法或技术实现的易失性和非易失性、可移除和不可移除的介质，用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息。存储器104，可移除存储器108和不可移除存储器110是计算机存储介质的所有示例。计算机存储介质包括ram，rom，eeprom，闪存或其他存储器技术，cd-rom，数字通用光盘(dvd)或其他光学存储装置，磁盒，磁带，磁盘存储装置或其他磁存储设备，通用串行总线(usb)闪存驱动器，闪存卡或其他闪存存储设备，或者可以用于存储所需信息并且可以由计算设备100访问的任何其他存储介质。因此，传播信号本身不符合存储介质的资格。任何此类计算机存储介质都可以是计算设备100的一部分。
13.计算设备100通常包括一个或多个输入和/或输出连接，诸如usb连接、显示端口、专有连接等，以连接到各种设备以向计算设备提供输入和输出。输入设备112可以包括诸如键盘、指向设备(例如，鼠标、轨迹垫)、手写笔、语音输入设备、触摸输入设备(例如触摸屏)或其他设备之类的设备。输出设备111可以包括诸如显示器、扬声器、打印机等设备。
14.计算设备100通常包括一个或多个通信连接114，其允许计算设备100与其他计算机/应用115通信。示例通信连接可以包括以太网接口、无线接口、总线接口、存储区域网络接口和专有接口。通信连接可以用于将计算设备100与计算机网络耦合在一起，该计算机网络可以根据多种特性(诸如拓扑、连接方法和比例)进行分类。网络是计算设备和可能的其他设备的集合，这些设备通过促进通信并允许在互连设备之间共享资源和信息的通信信道互连。计算机网络的示例包括局域网、广域网、互联网或其他网络。
15.在一个示例中，计算设备100中的一个或多个计算设备可以被配置为针对网络中
用户的客户端设备。客户端设备可以被配置为与计算环境中的网络上的服务器建立远程连接。客户端设备可以被配置为运行应用或软件，诸如操作系统、web浏览器、云访问代理、终端仿真器或实用程序。
16.在一个示例中，计算设备100中的一个或多个计算设备可以被配置为网络中的服务器，诸如服务器设备。服务器可以被配置为与计算网络或计算环境中的客户端设备建立远程连接。服务器可以被配置为运行应用或软件，诸如操作系统。
17.在一个示例中，计算设备100中的一个或多个计算设备可以被配置为数据中心中的服务器，用以提供诸如云计算服务等分布式计算服务。数据中心可以提供池化资源，客户或租户可以根据需要动态配置和扩展应用，而无需添加服务器或附加的联网。数据中心可以被配置为与本地计算设备进行通信，诸如由云消费者使用的本地计算设备，包括个人计算机、移动设备、嵌入式系统或其他计算设备。在数据中心内，计算设备100可以被配置为服务器，作为独立设备或者一个或多个其他服务器设备的机架中的单独刀片。每个服务器上的一个或多个主机处理器(诸如处理器102)以及包括存储器104和存储装置110的其他组件运行可以支持多个虚拟机的主机操作系统。租户最初可能会使用服务器上的一个虚拟机来运行应用。当需求增加时，数据中心可以激活服务器或其他服务器上的附加虚拟机，并且当需求下降时，数据中心可以停用虚拟机。
18.数据中心可以是向单个企业用户提供服务的本地私有系统，或者可以是向多个可能不相关的客户和租户提供服务的公开(或半公开)可访问分布式系统，或者可以是两者的结合。此外，数据中心可以被包含在单个地理位置内，也可以分布在全球多个位置，并提供冗余和灾难恢复能力。例如，数据中心可以将服务器上的一个虚拟机指定为租户的应用的主要位置，并且可以激活同一台或另一台服务器上的另一个虚拟机作为辅助或备份，以防第一虚拟机或服务器出现故障。
19.云计算环境通常在一个或多个公认的模型中被实现，以在一个或多个网络连接的数据中心中运行。私有云部署模型包括仅为组织操作的基础架构，无论它是由内部管理还是由第三方管理，以及它是被托管在组织内部还是某个远程外部位置。私有云的示例包括自营数据中心。公共云部署模型包括对公众或大部分公众(诸如行业集团)可用的并由提供云服务的组织运行的基础设施。社区云由多个组织共享，并支持具有共同关注点(诸如管辖权、合规性或安全性)的特定组织社区。部署模型通常包括类似的云架构，但可以包括解决特定考虑(诸如共享云模型中的安全性)的特定特征。
20.云计算提供方通常将针对云计算环境的服务作为服务模型提供，服务模型被提供作为基础设施即服务、平台即服务和包括软件即服务在内的其他服务中的一个或多个。云计算提供方可以经由租户或消费者的订阅来提供服务。例如，软件即服务提供方将软件应用作为订阅服务提供，该订阅服务通常从web浏览器或其他瘦客户端界面可访问，并且消费者不会在本地计算设备上加载应用。基础设施即服务提供方向消费者提供了配置处理、存储、网络和其他基本计算资源的能力，消费者能够在这些资源中部署和运行软件，这可以包括操作系统和应用。消费者通常不管理底层云基础设施，但通常保留对计算平台和在平台上运行的应用的控制。平台即服务提供方为消费者提供了将消费者创建或获取的应用部署到云基础架构上的能力，这些应用是使用提供方支持的编程语言、库、服务和工具创建的。在一些示例中，消费者不管理或控制包括网络、服务器、操作系统或存储装置在内的底层云
基础设施，但可以控制已部署的应用以及可能的应用托管环境的配置设置。在其他示例中，提供方可以提供基础架构和平台服务的组合，以允许消费者管理或控制已部署的应用以及底层云基础架构。平台即服务提供方可以包括基础设施，诸如服务器、存储装置和联网，以及中间件、开发工具、商业智能服务、数据库管理服务等，并且可以被配置为支持应用生命周期的特征，包括构建、测试、部署、管理和更新中的一个或多个。
21.图2图示了一个示例，计算机网络200包括用户设备202，诸如客户端-服务器架构中的客户端设备，其耦合到代理服务器204。客户端设备202还可以耦合到各种网络资源，诸如邮件服务器206和web服务器208，用户设备202的用户可以经由计算机网络200访问这些网络资源。在一个示例中，邮件服务器206可以经由用户设备202上的应用210(诸如专用电子邮件应用)访问，或用web浏览器访问，并且web服务器208可以经由应用210(诸如web浏览器)访问，或经由可以与网络资源212通信的另一应用访问。邮件服务器可以向应用210提供包括到网络资源212的链接的消息，以及具有到网络资源212的链接的诸如文档、文件或文件夹之类的附件。web服务器208可以提供web页面，诸如静态web页面、动态web页面或可以被配置为在应用210中运行的web应用。web应用是在远程服务器上运行的软件应用的一个示例。在许多情况下，客户端设备202上的web浏览器用于通过网络200(诸如互联网)访问和实现web应用。web服务器还可以向应用210提供包括到网络资源212的链接的消息，以及具有到网络资源212的链接的诸如文档、文件和文件夹之类的附件。应用210还可以从诸如网络驱动器或文件托管服务之类的其他源或经由附接到总线或用户设备202的输入/输出连接的个人驱动器或其他计算设备接收具有到网络资源212的链接的文档、文件或文件夹。到网络资源的链接可以包括资源地址，诸如web地址或其他资源标识符，它们为计算设备100(诸如用户设备202)提供机制以经由应用210或另一应用(诸如web浏览器)访问网络资源。
22.网络200包括安全服务214以提供对与资源地址相对应的网络资源212的验证，资源地址可以包括已经被提供给应用210的消息、附件、文档、文件或文件夹中的web地址或链接。安全服务214被设置为处理用户设备202和网络资源212之间的(诸如代理服务器204上的)网络业务。保护和验证可以经由被提供给安全服务214的策略以及在安全服务214处定义的附加策略来定义。在一个示例中，安全服务214扫描恶意链接并在将web浏览器或其他应用重定向到网络资源212之前应用策略。安全服务212可以是独立的服务或可以并入另一个服务，诸如安全代理或云访问安全代理。
23.在一个示例中，安全服务214可以被配置为软件即服务应用或saas，其在订阅的基础上被提供给用户设备202并且被集中托管。管理员可以访问安全服务以定义针对用户设备202的策略。安全服务214可以基于多租户架构，其中具有诸如硬件、网络和操作系统的单个配置的应用的单个版本被用于所有客户或租户。为了支持可扩展性，应用被安装在多台机器上，或者在诸如数据中心或多个数据中心等环境中被水平扩展。例如，安全服务214可以监视用户活动，警告管理员潜在的危险行为，强制执行安全策略合规性，并自动防止或减少企业中恶意软件的可能性。
24.在一个示例中，安全服务214是分布式的、基于云的代理，其是用户和应用活动的内联代理。对于所选的应用210，安全服务214通过应用210中的配置改变将其自身连接到应用210，并且到应用210中生成的或被提供给应用210的网络资源212的链接可以被引导到代理以进行验证、控制和管理。在一个示例中，安全服务214可以作为认证或业务级别的反向
代理操作，以通过安全服务214重定向链接。例如，经由代理服务器204上的反向代理，而不是直接在用户和web页面之间，用户通过安全服务214被引导到web页面。用户请求和web应用响应可以在会话期间通过安全服务214。例如，安全服务214可以用安全服务214的域替换到网络资源212的链接以将用户保持在会话中。安全服务214可以将安全域链接附加到网络资源的链接以将相关链接、网络跟踪器(cookie)和脚本保持在会话内。在一个示例中，安全服务214可以将会话活动保存到日志中并强制执行会话的策略。
25.图3图示了安全服务300，在一个示例中其可以并入安全服务214中。安全服务300包括包装器(wrapper)模块302和代理304。安全服务300可以与用户设备202上的包括应用310的应用集成，应用310可以生成到网络资源212的可访问链接或接收到诸如来自文档、文件、文件夹、消息和web页面的网络资源的可访问链接。应用310的示例可以包括电子邮件程序或其他通信程序、诸如文字处理器或文件协作程序之类的内容创建程序、web浏览器、或者可以被配置为在诸如web浏览器之类的程序中运行的web应用。在一些示例中，应用310可以被配置为与web浏览器312或类似程序一起运行。例如，内容创建程序或通信程序可以包括到诸如web页面之类的网络资源的链接。如果用户点击内容创建程序或通信程序中的链接，则可以实现web浏览器来访问web页面。在一个示例中，web浏览器312可以被配置为直接与应用一起工作或通过用户设备202上的操作系统工作。代理304被插入在用户设备202之间的网络200中，包括应用310和具有访问远程服务器314上的网络资源212的链接的web浏览器312。
26.在示例中，与网络资源212相对应的服务器314托管引用网络资源212的web地址，该web地址指定诸如web页面的资源在诸如计算机网络200的计算机网络上的位置。在一个示例中，http://www.myapp.com/page/from/myapp的网址表示协议(https，或超文本安全传输协议)、主机名(www.myapp.com)和文件路径(page/from/myapp)。web地址可以符合一般通用资源指示符的语法。应用310可以接收或生成web地址作为链接，并且用户可以点击或访问该链接以发起与web服务器304的通信，web服务器304托管与该web地址相对应的web页面。在一个示例中，可以在用户设备202中建立通信，诸如经由web浏览器312。作为通信的一部分，服务器314可以将与web地址相对应的web页面加载到浏览器312中。在一个示例中，web页面可以是网站的一部分，该网站具有由文件路径索引并且被包括作为诸如异步web应用之类的web应用的一部分的一组页面。在一个示例中，web应用可以在用户设备202和服务器314之间异步地发送和取回数据，而不通常干扰web浏览器312中页面的显示和行为。
27.包装器模块302将代理后缀附加到访问的资源地址。在一个示例中，包装器模块将代理后缀附加到资源地址，以在访问资源地址时(诸如点击链接时)将应用310中的资源地址转换为具有后缀域的代理地址。例如，附加到资源地址“www.myapp.com”的代理后缀可以包括“us.securityservice.ms”，并且资源地址被转换为“http://www.myapp.com.us.securityservice.ms”。在该示例中，web地址被附加安全服务300的域或后缀域，诸如us.securityservice.ms，以形成代理地址或后缀域地址。网络资源212内的相关web地址、javascript和网络跟踪器可以用代理地址代替。
28.在一个示例中，包装器模块302是客户端侧特征，其将应用中的资源地址转换为带有附加后缀域地址的资源地址，以供web浏览器312使用。包装器模块302可以被配置为与各种应用一起工作，包括电子邮件程序和内容创建程序，并且与web浏览器312包括在一起以
接收从应用310提供的资源地址，或者与web应用包括在一起。在一个示例中，包装器模块302可以是独立系统，其独立于应用310和web浏览器312运行，或者在另一示例中，包装器模块可以被包括在应用310或web浏览器312中。包装器模块302可以包括计算机可读存储设备，用以存储控制处理器(诸如用户设备202上的处理器)的的计算机可执行指令。
29.安全服务300的附加后缀域通过安全服务300的代理304而不是直接在用户设备202和web服务器314之间将通信引导到网络资源212。网络资源212的资源地址在代理304处被从后缀域解析，并且代理304在允许通信传递到网络资源212之前验证网络资源212。代理304可以在代理服务器204上实现。如果安全服务300确定网络资源212是安全的，则基于在安全服务300处建立的策略，允许通信在用户设备202和网络资源212之间传递，诸如通过代理304。如果安全服务300确定网络资源212不安全，则基于在安全服务300处建立的策略，可以向用户设备202，诸如向web浏览器312提供警告。到网络资源212的通信也可以在代理304处被阻止。在一些示例中，警告可以包括将通信传递到网络资源212并绕过警告的控制。如果资源地址导向附件，则可以在代理304处扫描附件以查找恶意软件。
30.代理可以经由全局策略316和应用于资源地址的用户策略318来验证资源地址。例如，安全服务300可以包括可能被认为不安全的网络资源212的列表，诸如包括恶意软件的网络资源，其可以被保存在黑名单中，该黑名单在全局策略316中被应用于安全服务300的所有租户。安全服务300还可以保持一组适用于租户的用户的用户策略318。用户策略可以由诸如租户的管理员等专用用户选择和修改。一个用户策略318可以将所选网络资源列入租户的所有用户的黑名单。另一用户策略318可以将所选资源列入租户的所选用户子集的黑名单。又一用户策略318可以将所选资源列入租户的所有用户或租户的另一所选用户子集(诸如租户的管理员或另一子集)的白名单。用户策略318中的白名单可以覆盖全局策略316中的黑名单。在又一用户策略318中，不允许用户绕过对所选网络资源的警告。代理304可以包括计算机可读存储设备以存储控制处理器(诸如代理服务器204上的处理器)的计算机可执行指令。
31.图4图示了可以由安全服务300使用的示例方法400。诸如经由包装器模块302的安全服务300与用户设备202被包括在一起，并且被连接到可以生成或接收与网络资源相对应的资源地址的应用310。应用310的示例包括桌面类型应用、移动应用和在web浏览器312中被实现的web应用。包装器模块302在402经由将后缀域附加到资源地址来将资源地址转换为代理地址。在一个示例中，包装器模块302在资源地址被访问时，诸如在用户点击资源地址时，将资源地址转换为代理地址。代理地址在用户设备202中被实现以与代理304通信。在一个示例中，在404，所访问的资源地址被转换为代理地址并且通信在用户设备202处的web浏览器312中被实现。在404，不是访问网络资源，而是与代理304建立通信。在406，代理304验证网络资源212以确定网络资源212是否安全。在408，作为验证的一部分，代理304可以应用策略来确定是否阻止与网络资源212的通信。如果在408确定网络资源212是安全的，则可以在408在用户设备202和网络资源之间建立通信。在一个示例中，可以通过代理304建立通信。如果在406确定网络不安全，则代理304可以向用户设备202发出警告。在一些示例中，用户设备202可以绕过警告并且在通信最初被阻止之后继续建立与网络资源的通信。管理员可以制定策略来确定网络资源是否安全。此外，代理304可以记录与管理员可以下载和检查的网络资源212的通信。
32.示例系统300和方法400可以被实现为包括一个或多个硬件设备和计算机程序的组合，用于控制系统，诸如具有处理器102和存储器104的计算系统，以执行方法400。例如，系统300和方法400可以被实现为具有一组可执行指令的计算机可读介质或计算机可读存储设备，用于控制处理器102执行方法400。系统300和方法400可以作为服务被包括在云环境中，诸如实现云访问安全代理以强制执行安全策略的安全服务，并且在数据中心的计算设备100上被实现为代理服务器，诸如反向代理服务器，以引导用户设备202和网络资源212之间的web业务。
33.尽管这里已经说明和描述了特定实施例，但是本领域的普通技术人员将理解，在不背离本发明范围的情况下，可以用各种替代和/或等效实现代替所示和描述的特定实施例。本技术旨在涵盖本文讨论的特定实施例的任何修改或变化。